Conhecer fofo não seria precisamente preciso.Foto: GREG WOOD / AFP / Getty Images Se seus olhos ficarem vidrados ao ver o termo ataque man-in-the-middle [MiTM] nas notícias de tecnologia sobre violações de segurança, você pode ser perdoado. Parece muito abstrato. Tentamos torná-lo um pouco mais empolgante quando escrevemos sobre o primeiro grande site pornográfico a se tornar seguro com TLS , mas ainda é difícil imaginar. Pesquisador de segurança e fundador de startups, Anthony Zboralski da A criatura , escreveu uma postagem no Hacker Emergency Response Team’s Medium blog onde ele coloca esses golpes em termos que todos possam entender: pesca-gato.
Estou escrevendo isso para ajudá-lo a imaginar como funciona o crime cibernético e por que a privacidade é importante, mas vamos tornar tudo um pouco mais concreto primeiro. Se você puder se inserir no encontro de duas pessoas fazendo planos sem que elas saibam, você pode pregar peças. Por exemplo, digamos que você use a seguinte técnica para que Shawn e Jennifer, sem saber, se comuniquem através de você para marcar um encontro para sexta-feira às 8 horas. Você poderia então agendar mais três mulheres para se encontrarem com Shawn ao mesmo tempo e local, sem Shawn ou Jennifer sabendo o que você estava fazendo. Com este método, os amantes em potencial não percebem que mais alguém conhece seus planos, mas você sim.
Veja como Zboralski descreve como você pode executar um ataque MiTM para ouvir duas pessoas fazendo planos e até mesmo interpor seu próprio esquema. Não faça isso. É terrível. A menos que você seja um misantropo. Então provavelmente não há melhor maneira de passar o fim de semana.
Pode ser necessário ler isto mais de uma vez para obtê-lo. Se não fosse confuso, todo mundo faria isso o tempo todo. Dito isso, não é nada técnico.
Primeiro, você precisará de uma conta do Tinder para fazer pesquisas. Para obter os resultados mais rápidos, encontre o perfil de um homem real e razoavelmente atraente perto de onde você mora. Vamos chamá-lo de Shawn. O alvo inicial deve ser um homem, o ataque tem menos probabilidade de ter sucesso se escolhermos uma mulher, escreve Zboralski. Homens propõem, mulheres descartam ... (Se tudo isso soa um tanto binário de gênero para você, por favor, execute uma violação mais esclarecida da privacidade de alguém e nos diga como funciona.) Faça capturas de tela das fotos de Shawn e use-as para configurar um perfil falso do Tinder (que exigirá um perfil falso do Facebook). Certifique-se de defini-lo com o mesmo nome e provavelmente a mesma idade.
Em segundo lugar, deslize para a direita com seu perfil falso como um louco. Vá para a cidade. Faça isso até que alguém combine com você que você acredita que será difícil para o verdadeiro Shawn resistir. Agora você tem sua isca. Faça capturas de tela de todas as fotos dela e configure seu segundo perfil falso, para a senhora. Digamos que o nome dela seja Jennifer.
Terceiro, pegue seu perfil falso de Jennifer e deslize até encontrar o Shawn verdadeiro. Desliza para a direita. Na verdade, Zboralski sugere o uso de super likes. Cruze seus dedos. Neste ponto, você provavelmente precisará de um segundo dispositivo, como talvez um telefone gravador barato ou um tablet, para o perfil adicional. Contanto que o verdadeiro Shawn combine com a falsa Jennifer, você está no negócio (se ele não combinar, você sempre pode simplesmente encontrar uma nova combinação para o seu falso Shawn).
Agora, você está em posição de escutar a conversa deles. Qualquer coisa que a verdadeira Jennifer diga para o falso Shawn, ou vice-versa, você simplesmente copia para uma mensagem da outra conta falsa para a outra conta real.
Então, se Shawn usa o teclado Dating Hacks , ele pode começar com algo como Meus pais estão tão animados que mal podem esperar para conhecê-lo! Apenas, a falsa Jennifer vai recebê-lo. Então, copie isso como uma mensagem para a conta falsa do Shawn e envie para a Jennifer real - você seguiu isso? Aguarde sua resposta. Copie novamente e assim por diante.
Supondo que Shawn tenha um jogo adequado, ele falará até chegar aos dígitos. Desde que ele o faça, isso não significa que você tenha que parar de ouvir. Basta substituir os números de telefone reais por números de telefone que correspondem a telefones falsos. Isso deve ser super fácil a partir daqui, porque ninguém realmente faz ligações. Desde que ninguém realmente tente ligar um para o outro, não deve ser mais difícil copiar textos do que copiar mensagens do Tinder. Se alguém realmente ficar estranho e ligar, no entanto, a postagem de Zboralski tem instruções.
VEJA TAMBÉM: A rede de encontros anti-caça.
Você poderá continuar ouvindo até que os dois finalmente marcem um encontro real e se encontrem cara a cara.
No que acabei de descrever, tudo o que você está fazendo é ouvir. O que é divertido, mas bastante manso.
As possibilidades são realmente infinitas. Na verdade, se você realmente deseja atingir um usuário específico do Tinder, provavelmente poderá utilizá-lo se os conhecer bem o suficiente. Se você fizer isso, você será péssimo. Engraçado, mas horrível.
O Tinder pode não rastrear todos os lugares em que você faz login, mas não teve uma boa resposta para a postagem de Zboralski. A equipe de segurança do Tinder enviou a Zboralski a seguinte resposta quando ele relatou esse ataque a eles.
Embora o Tinder empregue vários mecanismos manuais e automatizados para impedir perfis falsos e / ou duplicados, em última análise, não é realista para qualquer empresa validar positivamente a identidade do mundo real de milhões de usuários enquanto mantém o nível de usabilidade comumente esperado.
Não é o único deslize de segurança recente da empresa, e perfis falsos usando rostos reais para enganar homens e mulheres solitários nas redes sociais são um problema real. Anteriormente, relatamos sobre uma startup russa, N-Tech Labs, que pode tirar fotos de telefones celulares e combiná-las de forma confiável com membros do VK, um site muito parecido com o Facebook. A imagem do Dr. Alec Couros tem sido amplamente usada online para executar golpes românticos, sem o consentimento dele . É apenas mais uma razão pela qual o namoro online é horrível.
Este problema específico deve ser resolvido com a tecnologia existente. Se o aprendizado de máquina ficou bom o suficiente para combinar duas fotos diferentes do mesmo rosto, você pensaria que combinar basicamente a mesma foto exata seria uma brisa. O Tinder, que pertence ao Match Group de sites de namoro online, não estava imediatamente disponível para comentar se está ou não usando o aprendizado de máquina para detectar esse tipo de falsificação. A resposta acima não é encorajadora, no entanto.
Esperançosamente, esta explicação de ataques MiTM torna mais fácil imaginar como a escuta funciona on-line, em vez de tornar mais fácil para você imaginar a ruína dos fins de semana de seus amigos. E se te assusta, então talvez não use serviços como Gmail e Allo, que são basicamente tecnologia de espionagem que optamos por usar. Se é nojento para uma pessoa ouvir uma conversa, por que não é nojento para empresas gigantes ouvirem todas as conversas?
Tenha cuidado lá fora.
h / t: Boletim informativo da Detectify .
